La compañía ZecOps acaba de anunciar que ha descubierto dos fallos de seguridad hasta ahora desconocidos que afectan a la app Mail de iOS o iPadOS. Explotando los dos fallos es posible acceder de forma remota a los mensajes almacenados en la app.
Un recordatorio más de la importancia de las actualizaciones
Según esta compañía, con sede en San Francisco, una de las dos vulnerabilidades permite a un atacante comprometer la seguridad del dispositivo al enviar un correo electrónico que consuma una importante cantidad de memoria. La segunda vulnerabilidad, por otra parte, permite que se ejecute código de forma remota en el dispositivo. De forma combinada, tal como explica ZecOps, las dos vulnerabilidades permitirían a un atacante acceder, modificar o eliminar correos electrónicos dentro de la app Mail.
Parece ser que esta vulnerabilidad afecta a los dispositivos desde iOS 6 y hasta iOS/iPadOS 13.4.1, la versión actual. Apple ha solucionado el error en la última beta de iOS 13.4.5 que llegará al público general en las próximas semanas. Dada la situación es posible que Apple lance una actualización menor, por ejemplo 13.4.2, con las correcciones necesarias.
Según ZecOps, la utilización de estos fallos de seguridad lleva en uso desde enero de 2018, con la versión 11.2.2 de iOS. Los objetivos de un ataque podrían ser personal, de gobiernos o ejecutivos de corporaciones y empresas importantes. Por ahora, la única opción, además de esperar a una pronta respuesta por parte de Apple, parece ser desactivar Mail (Ajustes > Nuestro nombre > iCloud > Mail) en el dispositivo y acceder a los correos mediante icloud.com.
Cabe recalcar que, según las buenas prácticas del sector, ZecOps debería haber dado a Apple 90 días para arreglar la situación después de comunicársela. Al parecer la compañía ha decidido saltarse ese periodo para dar a conocer sus averiguaciones lo antes posible a la comunidad. Una decisión, cabe mencionar, que puede repercutir negativamente en la seguridad de los usuarios al no estar disponible aún una actualización. Aún con todo, es importante recordar que se trata de un ataque que debe ser dirigido explícitamente a una dirección concreta, por lo que, aunque el riesgo está ahí, es menor de lo que puede aparentar.
Como hemos expuesto en multitud de ocasiones, las actualizaciones de los sistemas operativos van mucho más allá de las nuevas funciones: velan por la seguridad y privacidad de nuestros datos. Si valoramos esta seguridad la recomendación es mantener nuestros dispositivos siempre actualizados.
Ver 6 comentarios